CVE-2021-27249

D-Link DAP-2020 versão 1.01rc001

O problema está relacionado à implementação da função WEB CmdFileList() no firmware do ponto de acesso Wi-Fi D-Link DAP-2020, que não neutraliza elementos especiais usados em comandos do sistema operacional ao processar scripts CGI. Isso permite que um invasor execute código arbitrário no dispositivo. A falha existe devido à falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para executar uma chamada de sistema, permitindo que um invasor execute código no contexto de root. Não é necessária autenticação para explorar essa vulnerabilidade.

Para o D-Link DAP-2020 versão 1.01rc001, considere desativar a função WEB CmdFileList() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a scripts CGI para minimizar o risco de exploração. Evite usar strings fornecidas pelo usuário em chamadas de sistema até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.